package com.example.emos.wx.user.wrapper;

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * XSS防御修饰器
 * 是在请求发送过来之后使用Hutool工具对请求文本进行转义，所以
 * 所以我们需要重写获取参数的方法使用Hutool进行增强
 *
 * @Author YinXi
 * @Versin 1.0.0
 * @Date 2023/7/25
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    /**
     * 调用父类构造器,获取请求对象
     *
     * @param request
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 重写根据前端的name属性获取对应的parameter方法
     * 将获取的parameter使用Hutool工具进行转义
     *
     * @param name 前端的表单中的name属性
     * @return 前端中name属性对应的parameter
     */
    @Override
    public String getParameter(String name) {
        //获取请求中的原始数据
        String value = super.getParameter(name);
        //判断value不为空和空字符串
        if (!StrUtil.hasEmpty(value)) {
            //把请求的数据进行专义，也就是把script和html标签去除掉变为普通文本
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    /**
     * 重写根据前端的name属性获取一组parameter的方法
     * 使用Hutool工具对这一组parameter进行转义
     *
     * @param name 前端的name属性
     * @return 一组转义的parameter
     */
    @Override
    public String[] getParameterValues(String name) {
        //获取原始的一组parameter
        String[] values = super.getParameterValues(name);
        //判断获取的parameter是否为空
        if (values != null) {
            //遍历获取的这一组parameter并对每一个parameter进行转义
            for (int i = 0; i < values.length; i++) {
                String value = values[i];
                //判断value不为空和空字符串
                if (!StrUtil.hasEmpty(value)) {
                    //把请求的数据进行专义，也就是把script和html标签去除掉变为普通文本
                    value = HtmlUtil.filter(value);
                }
                values[i] = value;
            }
        }
        return values;
    }

    /**
     * 重写从前端获取的ParameterMap，将其中的每一个key对应的value进行转义
     * @return 新的map
     */
    @Override
    public Map<String, String[]> getParameterMap() {
        //获取原始的ParameterMap
        Map<String, String[]> parametes = super.getParameterMap();
        //先定义一个Map用来接收转义的内容，为了强调顺序使用LinkedHashMap
        LinkedHashMap<String, String[]> map = new LinkedHashMap();
        //判断获取的ParameterMap是否为空
        if (parametes != null) {
            //获取每一个key
            for (String key : parametes.keySet()) {
                //获取key对应的Parameter
                String[] values = parametes.get(key);
                //遍历获取的Parameter并对每一个Parameter进行转义
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        //把请求的数据进行专义，也就是把script和html标签去除掉变为普通文本
                        value = HtmlUtil.filter(value);
                    }
                    values[i] = value;
                }
                //放入新的map
                map.put(key, values);
            }
        }
        return map;
    }

    /**
     * 重写请求头中前端传递的name属性对应的值使用Hutool工具进行转义
     *
     * @param name 请求头中前端传递的name属性
     * @return 转义后name属性对应的值
     */
    @Override
    public String getHeader(String name) {
        //获取原始的请求头中对应的name属性的值
        String value = super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            //把请求的数据进行专义，也就是把script和html标签去除掉变为普通文本
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    /**
     * SpringMVC就是通过这个方法从请求中获取数据，所以
     * 为了从根本上防止XSS在这里将从流中获取的字符数据进行
     * 转义加密，所以需要覆盖该方法。
     *
     * @return
     * @throws IOException
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
        //获取原始数据流
        InputStream in = super.getInputStream();
        //读取字符流
        InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
        //加快读效率
        BufferedReader bufferedReader = new BufferedReader(reader);
        //进行字符串拼接操做
        StringBuffer body = new StringBuffer();
        //读一行
        String line = bufferedReader.readLine();
        //判断是否读到结尾
        while (line != null) {
            body.append(line);
            line = bufferedReader.readLine();
        }
        //关闭流
        bufferedReader.close();
        reader.close();
        in.close();
        //把JSON格式转化为Map对象
        Map<String, Object> map = JSONUtil.parseObj(body.toString());
        Map<String, Object> result = new LinkedHashMap<>();
        //根据key获得value
        for (String key : map.keySet()) {
            Object val = map.get(key);
            //判断获得的value是否为String类型
            if (val instanceof String) {
                //判断value不为空和空字符串
                if (!StrUtil.isEmpty(val.toString())) {
                    result.put(key, HtmlUtil.filter(val.toString()));
                }
            } else {
                //直接放置
                result.put(key, val);
            }
        }
        //将JSON转换为字符串格式
        String json = JSONUtil.toJsonStr(result);
        //传入字符串格式获取ByteArrayInputStream
        ByteArrayInputStream bain = new ByteArrayInputStream(json.getBytes());
        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

            @Override
            public int read() throws IOException {
                //重写
                return bain.read();
            }
        };
    }
}
